Analisis Keamanan Terhadap SQL Injection pada Web Service Berbasis Representational State Transfer (REST)

Kunto Aji Kristianto

ABSTRAKSI: Mashups merupakan fenomena saat ini yang dihasilkan karena inovasi web service REST dan AJAX (Asynchronous JavaScript API and XML). Web Service itu sendiri merupakan sistem perangkat lunak yang didesain untuk mendukung interoperabilitas interaksi antar mesin dalam suatu jaringan (network). Berdasarkan W3C, REST merupakan arsitektur web service. REST memiliki tujuan utama memanipulasi representasi resource dari web yang berupa XML. Protokol yang digunakan REST sama dengan protokol HTTP. Oleh sebab itulah REST cukup menggunakan protokol HTTP dan tidak memerlukan layer tambahan, sehingga sangat berbeda dengan arsitektur web service yang lain seperti SOAP dan XML-RPC. REST memiliki kekurangan, yaitu tidak adanya standard support untuk keamanannya. REST yang menggunakan HTTP GET memiliki parameter querysting sehingga memungkinkan terjadinya SQL Injection.
Pada tugas akhir ini akan dibangun sebuah framework REST web service yang memiliki metode untuk miminimalisir serangan SQL Injection seperti regular expression, escape character, dan prepare statement. Pengujian dilakukan dalam dua tahap, yaitu uji banyaknya query SQL Injection yang tembus dan uji enumerasi untuk mendapat informasi sensitif database . Hasil pengujian akan menghasilkan beberapa data seperti server time execution dan memory usage.
Berdasarkan hasil penelitian, didapat bahwa metode dengan escape character merupakan metode terbaik dilihat dari segi rata-rata server time execution dan penggunaan memori.
Kata Kunci : SQL Injection, Web Service, REST, FrameworkABSTRACT: At this time, mashups are a phenomenon because of the innovations of RESTful Web services and AJAX (Asynchronous JavaScript API and XML. A Web service is a software system designed to support interoperable machine-tomachine interaction over a network. Based on W3C, REST is one of web service architecture. The main purpose of REST is manipulating reseource representation from Web to XML. REST use HTTP as protocol, so REST does not need additional layer to implement web service like SOAP or XML-RPC based web service. REST has one disadvantage. REST is lack of standard support for the security. It is possible for REST send querystring parameter via HTTP GET. Because of it, REST has SQL Injection vulnerability.
In this paper will develop a REST web service framework which have methods like regular expression, escape character, and prepare statement to minimize SQL Injection attack. Testing will have two stage. In first stage, client will send SQL Injection queries to get how many query will be pass to the database. In second stage, client will enumerate to get sensitive information from database server. Testing result will create data which contains server time execution and memory usage.
Based on research, the result is escape character method is the best method to defend against SQL Injection attack based on server time execution and memory usage.
Keyword: SQL Injection, Web Service, REST, Framework


Bayu Erfianto, Iman Lukmanul Hakim


